Adicionando ADMINS ENTERPRISE em domínios de árvore no Active Directory

Navegue suas respostas
1

Eu tenho um controlador de domínio de nível superior (DC1) executando a floresta de nível superior na minha rede. Eu adicionei um controlador de domínio de árvore (TDC1) como um novo domínio na floresta. Eu estou tentando adicionar ENTERPRISE ADMINS para a nova árvore no Active Directory. Então, essencialmente, aqueles no grupo ENTERPRISE ADMINS para a floresta no DC1 também são administradores no TDC1. Quando tento adicionar o grupo ou um grupo dele do DC1 para o TDC1, ele não me permite selecionar outro domínio para puxar o grupo.

É possível tornar os ADMINISTRADORES EMPRESARIAIS, administradores de domínio no domínio Árvore ou eu tenho que refazer os usuários nesse domínio para permitir que eles efetuem login nesse domínio? Ou posso criar um grupo no nível DC1 da floresta e adicionar esse grupo ao domínio TDC1, conforme necessário?

Todos os servidores que executam o Windows Server 2016.

EDITAR Domínio de árvore, conforme mostrado aqui na seção Gerenciador de configurações do Server 2016 ao adicionar um domínio a uma floresta. Então, estou adicionando um domínio à floresta. No meu cliente do Centro Administrativo do Active Directory, posso adicionar os dois domínios a ele para gerenciá-los do DC1. Então, o que eu tenho um domínio DC1, que é uma área para o trabalho de escritório. E um domínio TDC1 que é um laboratório de teste e segurança e gerenciamento é executado a partir do DC1. Eu acho que estou querendo saber desde que no domínio DC1 eu adicionei um grupo de administração para ENTERPRISE DOMAINS é esse grupo administrador no TDC1?

As redes não estão conectadas umas às outras além dos 2 DCs conectados uns aos outros. Portanto, logins de usuários do domínio DC1 não funcionarão em computadores TDC1.

    
por JukEboX 10.07.2017 / 17:08

1 resposta

1

Sua terminologia é muito confusa. você tem dois domínios, um domínio raiz e um filho em uma única árvore ou você tem dois domínios em duas árvores diferentes na mesma floresta?

em ambos os casos, você não precisa fazer o que está tentando fazer. se ambos os domínios estiverem na mesma árvore ou se forem duas árvores na mesma floresta, você verá que o grupo Admins. do Domínio do domínio raiz já está adicionado ao grupo Administradores Locais de Domínio no domínio filho. se é uma árvore separada que você criou, então o mesmo se aplica.

para que a sua conta de Administrador padrão já tenha gravações administrativas em ambos os exemplos. Há uma tabela neste link que explica o que são esses grupos e como eles já estão aninhados entre si:

link

Se, no entanto, você criou uma nova floresta, primeiro terá de criar uma confiança de floresta e, em seguida, poderá adicionar seus grupos de administradores de um domínio a outro.

    
por 10.07.2017 / 17:17

Tags

Uso do Administrador de Logs no domínio? Por que a atribuição de permissões de leitura e execução ao IIS_IUSRS concede acesso ao SERVIÇO DE REDE?